EP1331539B1

EP1331539B1 - Sicherer Modus für Prozessoren, die Speicherverwaltung und Unterbrechungen unterstützen

Info

Publication number: EP1331539B1
Application number: EP02100727.3A
Authority: EP
Inventors: Franck Dahan; Christian Roussel; Alain Bruno Chateau; Peter Harry Cumming
Original assignee: Texas Instruments France SAS; Texas Instruments Inc
Current assignee: Texas Instruments France SAS; Texas Instruments Inc
Priority date: 2002-01-16
Filing date: 2002-06-20
Publication date: 2016-09-28
Anticipated expiration: 2022-06-20
Also published as: US20030140245A1; US20030140244A1; EP1331539A2; US7890753B2; US7120771B2; US7237081B2; EP1331539A3; US20030140205A1

Claims

Ein Verfahren zum Betrieben eines digitalen Systems mit einem Mechanismus für eine CPU (200) mit einem Befehlsausführungspipeline, um ein Sicherbetriebsmodus umzuschalten, welches Verfahren aus den folgenden Schritten besteht:
das Springen in einer Einsprungsadresse (410) bei einer besonderen Adresse in einem Befehlsspeicher (311);

die Ausführung einer Aktivierungssequenz (413) von Befehlen mit Anfang beim Einsprungsadresse (410);

die Überwachung von vorbestimmten Signalen (330) innerhalb des Systems, und die Erkennung eines bestimmten Musters in den Signalen, die beim Ausführung der Aktivierungssequenz (413) erzeugt werden;

und

die Durchsetzung eines Sicherheitssignals (302) und das Umschalten des Sicherbetriebsmodus beim Erkennen des vordefinierten Musters.
Das Verfahren nach Anspruch 1, wobei die CPU (200) einen Befehlscache (204) hat, und dazu bestehend aus dem Schritt von keinem Umschalten des Sicherbetriebsmodus, wenn die Aktivierungssequenz (413) mit Anfang bei einer Einsprungsadresse (410) in einem Befehlscache ausgeführt wird.
Das Verfahren nach Anspruch 1, wobei der letzte nicht-vertrauenswürdig Befehl bevor die Ausführung der Aktivierungssequenz (413) entweder ein JUMP zur Einsprungsadresse-Befehl (410) oder ein bekannter Befehl ist.
Das Verfahren nach jenen vorhergehenden Ansprüchen, wobei die Aktivierungssequenz (413) der Befehle länger als die Länge des Befehlsausführungspipelines der CPU (200).
Das Verfahren nach jenen vorhergehenden Ansprüchen, wobei die CPU (200) einen Befehlscache (204) hat und wobei die Aktivierungssequenz (413) einen Befehlscache-Flush-Befehl einschließt, damit mindestens n-Befehle der Aktivierungssequenz (413) bevor die Entleerung des Befehlscaches (204) ausgeführt werden, wobei n die Befehlspipeline-Länge ist.
Das Verfahren nach jenen vorhergehenden Ansprüchen, wobei die CPU (200) einen Befehlscache (204) hat, und wobei die Aktivierungssequenz (413) einen Befehlscache-Deaktivierungsbefehl einschließt, damit mindestens die Befehle der Aktivierungssequenz (413) bevor die Deaktivierung des Befehlscaches ausgeführt werden, wobei n die Befehlspipeline-Länge ist.
Das Verfahren nach Ansprüchen 5 oder 6, wobei der Flush-Befehl oder Deaktivierungsbefehl in der Aktivierungssequenz (413) befindet, damit seine Adresse der Position-P in einer Linie des Befehlscaches (204) entspricht, wobei die Distanz zwischen p und dem letzten Befehl einer Linie in dem Befehlscache (204) dem Rang der Ausführungsstufe in dem CPU-Pipeline entspricht.
Das Verfahren nach jenen vorhergehenden Ansprüchen, wobei der letzte Befehl der Aktivierungssequenz (413) einen Verzweigungsbefehl ist, und wobei alle anderen Befehle in der Aktivierungssequenz (413) NOP-Befehle außer eines Cache-Flush-Befehls (710) oder eines Cachedeaktivierungsbefehls sind.
Das Verfahren nach jenen vorhergehenden Ansprüchen, wobei der Schritt der Schritten sind:
die Überwachung eines Sets von einem oder mehreren Zustandssignalen (325, 327, 331, 333), die durch die CPU und das System während jedes Zugriffs der Aktivierungssequenz (413) geliefert werden;

das Abbrechen der Aktivierungssequenz (413), wenn die Zustandssignale (325, 327, 331, 333) zeigen, dass jener der Aktivierungssequenzzugriffe keinen Befehls-Fetch-Zugriff ist.
Das Verfahren nach Anspruch 9, dazu bestehend aus den Schritt von:
dem Abbrechen der Aktivierungssequenz (413), wenn die Zustandssignale (333) zeigen, dass ein Datenzugriff während der Ausführung der Aktivierungssequenz (413) ausgeführt wird.
Das Verfahren nach Ansprüchen 9 - 10, dazu bestehend aus dem Schritt von dem Abbrechen der Aktivierungssequenz (413), wenn die Zustandssignale (325) zeigen, dass die Störungen nicht verhindert sind, oder wenn die Zustandssignale (331) zeigen, dass jener der Aktivierungssequenzzugriffe im Cache speichbar ist, oder wenn die Zustandssignale zeigen, dass eine vorbestimmte Synchronisationssequenz während der Ausführung der Aktivierungssequenz (413) nicht gefolgt wird.
Das Verfahren nach jenen vorhergehenden Ansprüchen dazu bestehend aus den Schritten von:
der Festlegung (502) eines Betriebsmodus nach vordefiniertem Sicherheitskriterium durch das Aufrufen eines OS-Task-Manager bevor Springen zur Einsprungsadresse (410);

nach dem Eintritt des Sicherbetriebsmodus (620), die Festlegung (526) einer Umgebung, die für Sichercode-Ausführung durch die Ausführung einer Vielzahl von Befehlen (414) von einem sicheren Nur-Lese-Speicher (310) geeignet ist;

der Ausführung (528) einer sicheren Routine (416) von dem sicheren Nur-Lese-Speicher (310);

dem Realisieren einer Ausgangssequenz (418) von dem sicheren Nur-Lese-Speicher (310);

dem Springen (530) zu einem Ausgangspunkt in einem veröffentlichen Nur-Lese-Speicher (311).
Ein digitales System, bestehend aus:
einer CPU (200) mit einem Befehlsausführungs-Pipeline;

einem veröffentlichen Nur-Lese-Speicher (311), der mit einem Befehls-Bus (330) der CPU (200) zum Halten von unsicheren Befehlen verbunden ist, der veröffentliche Nur-Lese-Speicher (311) seiend immer durch die CPU (200) zugriffbar;

einem sicheren Nur-Lese-Speicher (310), der mit dem Befehls-Bus (330) der CPU (200) zum Halten von sicheren Befehlen verbunden ist, der sichere Nur-Lese-Speicher (310) seiend zugriffbar nur wenn ein Sicherheitssignal festgelegt wird;

einer Sicherheits-Zustands-Maschine (300) verbunden mit der CPU (200) zur Überwachung eines Sets von Zustandssignalen (325, 327, 331, 333) und verbunden mit dem Befehls-Adresse-Bus (300) zur Überwachung der Befehls-Adresse-Signale, die Sicherheitszustandsmaschine (300) habend einen Ausgang zur Festlegung des Sicherheitssignals (302), wenn ein Sicherbetriebsmodus festgelegt wird;

einer Sicherheitsressource (310, 312, 316a, 316b) verbunden mit der CPU (200), dass durch die CPU zugriffbar ist, nur wenn das Sicherheitssignal (302) durchgesetzt ist; und

wobei die Sicherheitszustandsmaschine (300) betriebsfähig ist, die vorbestimmten Signale innerhalb des Systems überzuwachen, um einen vordefinierten Muster in den Signalen zu erkennen, welche Signale beim Ausführen der Aktivierungssequenz von Befehlen (413) in einem veröffentlichen Nur-Lese-Speicher (311) erzeugt werden, und um ein Sicherheitssignal (302) festzulegen und das Sicherbetriebsmodus beim Erkennen des jeweiligen vordefinierten Musters einzugehen.